Arsip dari masalah keamananΒΆ
Tim pengembangan Django memiliki komitmen yang kuat untuk bertanggung jawab melaorkan dan menyingkap dari masalah terkait-keamanan, sebagai diuraikan di Django's security policies.
Sebagai bagian dari komitmen itu, kami merawat daftar riwayat berikut dari masalah yang telah diperbaiki dan diungkapkan. Untuk setiap masalah, daftar dibawah termasuk tanggal, gambaran singkat CVE identifier jika diberlakukan, sebuah daftar dari versi terpengaruh, sebuah tautan pada pengungkapan penuh dan tautan ke tambalan-tambalan yang sesuai.
Beberapa peringatan penting berlaku pada informasi ini:
- Daftar dari versi terpengaruh termasuk hanya versi itu dari Django yang stabil, terbitan dukungan-keamanan pada saat dari penyingkapan. Ini berarti versi terlama (yang dukungan keamanan telah berakhir) dan versi yang berada di pra-terbitan keadaan (alpha/beta/RC) pada saat dari penyingkapan mungkin telah terpengaruh, tetapi tidak terdaftar.
- Proyek Django terkadang menerbitkan saran keamanan, menunjuk kemungkinan masalah keamanan yang dapat muncul dari konfigurasi tidak sesuai atau dari masalah-masalah lain diluar Django itu sendiri. Beberapa dari saran-saran ini telah menerima CVE; ketika itu adalah kasus, mereka didaftarkan disini, tetapi karena mereka tidak mempunyai tambalan atau terbitan yang mendampingi, hanya gambaran, penyingkapan dan CVE akan didaftarkan.
Masalah-masalah pada sebelum pengolahan keamanan DjangoΒΆ
Beberapa masalah keamanan ditangani sebelum Django telah menyusun pengolahan keamanan yang digunakan. Untuk ini, terbitan baru mungkin tidak telah dikeluarkan pada saat itu dan CVE mungkin tidak telah ditentukan.
16 Agustus 2006 - CVE-2007-0404ΒΆ
Masalah pengesahan nama berkas di terjemahan kerangka kerja. Full description
21 Januari 2007 - CVE-2007-0405ΒΆ
Kejelasan "caching" dari pengguna terautentifikasi. Full description
Masalah dibawah pengolahan keamanan DjangoΒΆ
Semua masalah keamanan lain telah ditangani dibawah versi dari pengeolahan keamanan Django. Ini adalah terdaftar dibawah.
26 Oktober 2007 - CVE-2007-5712ΒΆ
Denial-of-service melalui kepala Accept-Language besar-berubah-ubah. Full description
14 mei 2008 - CVE-2008-2302ΒΆ
XSS melalui pengalihan masuk admin. Full description
2 September 2008 - CVE-2008-3909ΒΆ
CSRF melalui pemeliharaan dari data POST selama masuk admin. Full description
28 Juli 2009 - CVE-2009-2659ΒΆ
Lintasan-direktori dalam penangan media peladen pengembangan. Full description
9 Oktober 2009 - CVE-2009-3965ΒΆ
Denial-of-service melalui penampilan pernyataan regular patologi. Full description
8 September 2010 - CVE-2010-3082ΒΆ
XSS melalui nilai kue tidak aman dipercaya. Full description
22 Desember 2010 - CVE-2010-4534ΒΆ
Kebocoran informasi di antarmuka administratif. Full description
22 Desember 2010 - CVE-2010-4535ΒΆ
Denial-of-service di mekanisme setel kembali-sandi. Full description
8 Februari 2011 - CVE-2011-0696ΒΆ
CSRF melalui kepala HTTP yang ditempa. Full description
8 Februari 2011 - CVE-2011-0697ΒΆ
XSS melalui nama-nama tidak dibersihkan dari berkas-berkas terunggah. Full description
8 Februari 2011 - CVE-2011-0698ΒΆ
Lintasan-direktori pada Windows melalui penanganan pemisah-jalur tidak benar. Full description
9 September 2011 - CVE-2011-4136ΒΆ
Manipulasi sesi ketika menggunakan sesi backend-cache-memori. Full description
9 September 2011 - CVE-2011-4137ΒΆ
Denial-of-service melalui URLField.verify_exists. Full description
9 September 2011 - CVE-2011-4138ΒΆ
Pengeluaran permintaan kebocoran/berubah-ubah informasi melalui URLField.verify_exists. Full description
9 September 2011 - CVE-2011-4139ΒΆ
Peracunan cache kepala Host. Full description
9 September 2011 - CVE-2011-4140ΒΆ
Kemungkinan CSRF melalui kepala Host. Full description
Versi terpengaruhΒΆ
Pemberitahuan ini hanya saran, jadi tidak ada tambalan diterbitkan.
- Django 1.2
- Django 1.3
30 Juli 2012 - CVE-2012-3442ΒΆ
XSS melalui kegagalan untuk mensahkan skema pengalihan. Full description
30 Juli 2012 - CVE-2012-3443ΒΆ
Denial-of-service melalui berkas-berkas gambar termampatkan. Full description
30 Juli 2012 - CVE-2012-3444ΒΆ
Denial-of-service melalui berkas-berkas gambar. Full description
17 Oktober 2012 - CVE-2012-4520ΒΆ
Peracunan kepala Host. Full description
Desember 10, 2012 - No CVE 1ΒΆ
Tambahan pengerasan dari penanganan kepala Host. Full description
Desember 10, 2012 - No CVE 2ΒΆ
Tambahan pengerasan dari pengalihan pengesahan. Full description
Februari 19, 2013 - No CVEΒΆ
Tambahan pengerasan dari penanganan kepala Host. Full description
19 Februari 2013 - CVE-2013-1664 / CVE-2013-1665ΒΆ
Serangan berdasarkan-masukan terhadap pustaka XML Python. Full description
19 Februari 2013 - CVE-2013-0305ΒΆ
Kebocoran informasi melalui catatan riwayat admin. Full description
19 Februari 2013 - CVE-2013-0306ΒΆ
Denial-of-service melalui memotong max_num formset. Full description
13 Agustus 2013 - CVE-2013-4249ΒΆ
XSS melalui nilai-nilai URLField dipercaya admin. Full description
13 Agustus 2013 - CVE-2013-6044ΒΆ
Kemungkinan XSS melalui skema pengalihan URL tidak disahkan. Full description
10 September 2013 - CVE-2013-4315ΒΆ
Lintasan-direktori melalui etiket cetakan ssi. Full description
14 September 2013 - CVE-2013-1443ΒΆ
Denial-of-service melalui sandi besar. Full description
Versi terpengaruhΒΆ
- Django 1.4 (patch dan Memperbaiki kesesuaian Python)
- Django 1.5 (patch)
21 April 2014 - CVE-2014-0472ΒΆ
Pengerjaan kode tidak diharapkan menggunakan reverse(). Full description
21 April 2014 - CVE-2014-0473ΒΆ
Cache dari halaman anonim dapat mengungkap token CSRF. Full description
21 April 2014 - CVE-2014-0474ΒΆ
Typecast MySQL menyebabkan hasil permintaan yang tidak diharapkan. Full description
18 Mei 2014 - CVE-2014-1418ΒΆ
Tembolok mungkin diizinkan untuk menyimpan dan melayani data pribadi. Full description
18 Mei 2014 - CVE-2014-3730ΒΆ
URL jelek dari masukan pengguna tidak benar disahkan. Full description
20 Agustus 2014 - CVE-2014-0480ΒΆ
reverse()` dapat membangkitkan URL menunjuk ke rumah lain. Full description
20 Agustus 2014 - CVE-2014-0481ΒΆ
Unggah berkas denial of service. Full description
20 Agustus 2014 - CVE-2014-0482ΒΆ
Pembajakan sesi RemoteUserMiddleware. Full description
20 Agustus 2014 - CVE-2014-0483ΒΆ
Kebocoran data melalui memanipulasi querystring di admin. Full description
13 Januari 2015 - CVE-2015-0219ΒΆ
Menipu kepala WSGI melalui garis bawah/penggabungan tanda garis. Full description
13 Januari 2015 - CVE-2015-0220ΒΆ
Dikurangi kemungkinan serangan XSS melalui URL pengalihan diberikan-pengguna. Full description
13 Januari 2015 - CVE-2015-0221ΒΆ
Serangan denial-of-service terhadap django.views.static.serve(). Full description
13 januari 2015 - CVE-2015-0222ΒΆ
Denial-of-service basisdata dengan ModelMultipleChoiceField. Full description
9 Maret 2015 - CVE-2015-2241ΒΆ
Serangan XSS melalui sifat di ModelAdmin.readonly_fields. Full description
18 Maret 2015 - CVE-2015-2316ΒΆ
Kemungkinan denial-of-service dengan strip_tags(). Full description
18 Maret 2015 - CVE-2015-2317ΒΆ
Dikurangi kemungkinan serangan XSS melalui URL pengalihan diberikan-pengguna. Full description
20 Mei 2015 - CVE-2015-3982ΒΆ
Diperbaiki pembilasan sesi di backend cached_db. Full description
8 Juli 2015 - CVE-2015-5143ΒΆ
Kemungkinan denial-of-service dengan mengisi toko sesi. Full description
8 Juli 2015 - CVE-2015-5144ΒΆ
Kemungkinan suntikan kepala sejak pengesah menerima baris baru di masukan. Full description
8 Juli 2015 - CVE-2015-5145ΒΆ
Kemungkinan denial-of-service di pengesahan URL. Full description
18 Agustus 2015 - CVE-2015-5963 / CVE-2015-5964ΒΆ
Kemungkinan denial-of-service di tampilan logout() dengan mengisi toko sesi. Full description
24 November 2015 - CVE-2015-8213ΒΆ
Menyetel kemungkinan bocor di penyaring cetakan date. Full description
1 Februari 2016 - CVE-2016-2048ΒΆ
Pengguna dengan "change" tetapi tidak "add" perizinan dapat membuat obyek untuk ModelAdmin dengan save_as=True. Full description
1 Maret 2016 - CVE-2016-2512ΒΆ
Pengalihan dan kemungkinsn serangan XSS jelek melalui URL pengalihan diberikan-pengguna mengandung autentifikasi dasar. Full description
1 Maret 2016 - CVE-2016-2513ΒΆ
Pendaftaran pengguna melalui perbedaan pewaktu pada peningkatan faktor pekerjaan pengacak sandi. Full description
18 Juli 2016 - CVE-2016-6186ΒΆ
XSS dalam popup terkait tambah/rubah admin. Full description
26 September 2016 - CVE-2016-7401ΒΆ
Pemotongan perlindungan CSRF pada situs dengan Google Analytics. Full description
1 November 2016 - CVE-2016-9013ΒΆ
Pengguna dengan sandi kode keras sandi dibuat ketika menjalankan percobaan pada Oracle. Full description
1 November 2016 - CVE-2016-9014ΒΆ
Kerentanan mengikat kembali ketika DEBUG=True. Full description
4 April 2017 - CVE-2017-7233ΒΆ
Dibuka pengalihan dan kemungkinan serangan XSS melalui URL pengalihan numerik disokong-pengguna. Full description
4 April 2017 - CVE-2017-7234ΒΆ
Membuka kerentanan pangalihan dalam django.views.static.serve(). Full description
5 September 2017 - CVE-2017-12794ΒΆ
Kemungkinan XSS di melacak kembali bagian dari halaman teknis mencari kesalahan 500. Full description
